Il centro studi Geopolitica.info ha intervistato l’esperto di criminalità organizzata e terrorismo Diego Scarabelli. E’ autore di “Lotta alla mafia siciliana” (2015), “La penetrazione delle mafie italiane nell’economia dell’Unione Europea” (2016) e “Il sistema” (2016). A gennaio, alla Camera dei Deputati, Scarabelli ha sostenuto la necessità di istituire un ministero per il dominio cibernetico deputato sia alla difesa sia alla promozione dell’e-commerce e della cultura cyber.
Nel contesto internazionale attuale, il cyber space calamita attenzioni crescenti. Perché?
Il cyber space negli ultimi anni è stato particolarmente studiato dalle agenzie di intelligence, dalle forze armate e di polizia di molti paesi. Viene ritenuto il quinto dominio accanto a terra, acqua, aria e spazio. La maggior attenzione dovuta a questo dominio è cresciuta anche in seguito all’aumento delle minacce in quest’ambito, nonché all’importanza che questo riveste nella cosiddetta “New economy”. Ma il confronto sul campo di battaglia cibernetico è già stato impiegato al tempo della Guerra Fredda.
Un esempio di guerra cibernetica durante la Guerra Fredda?
Un esempio interessante è il “Dossier Farewell”. Nel 1981 il Presidente americano Ronald Reagan riceve dall’alleato francese, il Presidente François Mitterrand, notizie riguardanti il successo francese nel reclutare un membro del Kgb. Si tratta del colonnello Vladimir I. Vetrov, designato come “Farewell”. Grazie ai francesi, gli americani acquisiscono materiali compilati da Farewell da cui risulta chiaro che i sovietici si sono serviti per anni degli sviluppi di R&D statunitensi e di altri paesi occidentali. In questo modo l’Urss non restava indietro a livello tecnologico ai suoi possibili avversari. I sovietici hanno anche infiltrato degli agenti del Kgb in gruppi di lavoro comuni con gli Stati Uniti -quali ad esempio inerenti all’agricoltura, aviazione civile, oceanografia, ecc.- nati per portare a pacifiche relazioni tra le due potenze.
Grazie alle informazioni ricevute gli americani valutano quali sono le tecnologie di maggior interesse per i sovietici e predispongono un contrattacco. Le forze di sicurezza USA si concentrano su dei chip utili per i sistemi di controllo dei computer per automatizzare le operazioni della nuova conduttura di gas transiberiana. Prima che i sovietici mettano le mani su questa tecnologia, gli americani la modificano inserendo un trojan horse. Come nel poema epico dell’Odissea da cui prende il nome, il trojan horse o “cavallo di Troia” è un qualcosa che all’apparenza pare benigno, ma che in realtà è pericoloso. È infatti un software maligno o malware che maschera e nasconde le sue funzionalità all’interno di un programma apparentemente utile. I sovietici non sospettano del tranello e impiegano i chip per una conduttura di gas. Nel giugno 1982 si registra la più monumentale esplosione non nucleare e il fuoco è visibile dalla spazio. Gli americani avevano preparato un programma atto a confondere il software della conduttura così che avesse un impatto sulla velocità della pompa e sulle impostazioni delle valvole e producesse pressioni ben oltre quelle accettabili per le articolazioni di gasdotti e di saldature. La deflagrazione ha un impatto notevole sull’Urss, ma non solo dal punto di vista economico o logistico. Per come è stata condotta l’operazione è evidente che gli Stati Uniti sono stati in grado di violare le sue difese e potrebbero aver installato altri trojan horse pronti a causare caos sul suolo sovietico. Dal punto di vista sovietico, tutte le tecnologie sottratte all’Occidente potevano quindi essere ulteriori fattori di destabilizzazione. Non più una risorsa.
Quali sono le principali minacce legate al “quinto dominio”?
In base ai tipi di minacce cibernetiche e a seconda degli attori e delle loro finalità, il Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico del 2013 presenta quattro macro-categorie che possono però intersecarsi tra di loro:
Primo, la criminalità cibernetica (cyber-crime), ovvero il complesso delle attività con finalità criminali (quali, per esempio, la truffa o frode telematica, il furto d’identità, la sottrazione indebita di informazioni o di creazioni e proprietà intellettuali);
Secondo, lo spionaggio cibernetico (cyber-espionage), vale a dire l’acquisizione indebita di dati e informazioni sensibili, proprietarie o classificate;
Terzo, il terrorismo cibernetico (cyber-terrorism), cioè l’insieme delle azioni ideologicamente motivate, volte a condizionare uno stato o un’organizzazione internazionale;
Quarto, ma non ultimo, la guerra cibernetica (cyber-warfare): un insieme di attività e operazioni militari pianificate e condotte allo scopo di conseguire effetti nel predetto ambiente.
Quali sono le principali armi impiegate?
Ci sono diverse armi cibernetiche che possono essere impiegate per scopi riconducibili a cyber-crime, cyber-espionage, cyber-terrorism, cyber-warfare o a un mix di questi. Tra i malware possiamo identificare tre importanti categorie basate sulla loro funzione primaria: i Ransomware, i Remote Access Tools (RATs) e gli Info Stealers.
Di cosa si tratta?
Un Ransomware è un tipo di malware che infetta un dispositivo e impedisce al proprietario di accedere ai suoi programmi e file. Per sbloccare questo divieto, il Ransomware richiede un riscatto (“ransom” in inglese). Il rischio è che, nonostante la vittima paghi la somma richiesta, il vessatore continui a chiedere pagamenti anche a posteriori poiché il malware non è stato eliminato. Al momento CryptoLocker è considerato il malware più pericoloso per i cittadini europei sia in termini di volumi che di impatto sulla vittima. Inoltre è ritenuto una delle minacce malware che cresce più rapidamente. CryptoLocker è apparso per la prima volta nel settembre 2013 e da questa data si stima che abbia infettato 250,000 computer e ottenuto oltre 24 milioni di euro in riscatto.
I Remote Access Tools (RATs) permettono a un utente l’accesso remoto e il controllo di un sistema. In modo legittimo questi strumenti sono spesso impiegati per garantire il supporto tecnico o amministrativo. Se un individuo se ne serve in maniera illegittima può accedere in modo remoto a microfoni e telecamere, installare o disinstallare dei programmi tra cui ulteriori malware, attuare attività di keylogging (ovvero catturare e intercettare ogni testo scritto con la tastiera, incluse informazioni sensibili come le password), gestire i file, controllare in tempo reale il desktop altrui. Tutto ciò può avvenire senza che la vittima sia conscia dell’intrusione. Un esempio è Blackshades.NET. Questo malware appare nel 2010 ed è acquistabile sui forum di hacker per una cifra di circa 35€. Alle solite funzionalità dei RATs, Blackshades.NET aggiunge la capacità di funzionare come un ransomware poiché è in grado di bloccare l’accesso a determinati file. Può anche attuare dei Distributed Denial of Service attacks o DDoS ovvero degli attacchi informatici sferrati da più computer in contemporanea finalizzati a interrompere l’erogazione di un servizio di rete. Inoltre contiene un marketplace per permettere ai suoi utenti di comprare e vendere bot che sono dei programmi che accedono alla rete attraverso lo stesso tipo di canali utilizzati dagli utenti umani.
Gli Info Stealers sono costituiti da quei malware creati con l’intento di sottrarre dati. In questa categoria rientra anche Zeus, finora uno dei malware più potenti e interessanti. Zeus è un Trojan Horse che sottrae informazioni bancarie tramite sistemi quali keylogger e compilazione di form. Zeus è stato identificato per la prima nel luglio 2007 quando fu impiegato per sottrarre delle informazioni al Dipartimento dei Trasporti americano. Sul source code di Zeus si sono creati altri malware. Ad esempio Gameover ZeuS che utilizzava un network di computer compromessi decentralizzati per ospitare la sua command and control infrastructure. Altri suoi discendenti sono Citadel e ICE IX.
Un altro metodo per acquisire informazioni private e dati consiste nel Social Engineering che sfrutta le debolezze del fattore umano. Servendosi di phishing o di spear phishing alcuni individui si mascherano come personaggi o istituzioni degne di fiducia e ottengono importanti dati sensibili quali username, password e dettagli di carte di credito.
Come si diffondono i malware? Quali sono gli obiettivi principali?
La facilità con cui si diffondono i malware è anche dovuta a particolari enabler quali: spam, exploit kit e dropper. Un exploit kit è programma che prende di mira le vulnerabilità dei software al fine di scaricare sui macchinari che li contengono dei malware. Le spam contenenti degli allegati maligni sono il metodo più comune per la distribuzione dei malware. Infine i dropper sono dei malware che, una volta installati, hanno il compito di scaricare ulteriori malware.
Tutte queste cyber weapon sono sempre più sfruttate per colpire le istituzioni, le grandi aziende e anche le piccole e medie imprese (Pmi). Alla pluralità delle minacce si aggiunge inoltre un variegato panorama di attori italiani, europei e internazionali pronti ad agire.
Chi potrebbe avvantaggiarsi da questa moderna tipologia di armi?
Sicuramente è di particolare interesse monitorare i gruppi mafiosi italiani per poter carpire se questi intendono investire nel cyber crime e a che fine. Per esempio gruppi come Cosa Nostra, la Camorra e la ‘ndrangheta potrebbero decidere di passare dal racket commesso porta a porta a quello cibernetico. Questo li avvantaggerebbe poiché, allo stato attuale, è molto difficile poter condannare in sede giudiziaria un cyber criminal. In aggiunta potrebbero aumentare velocemente i business da loro vessati perché avrebbero bisogno di minor personale e non necessiterebbero neanche di spostarsi fisicamente in nuove aree geografiche. Tutto ciò potrebbe portare anche a scontri territoriali tra i vari gruppi mafiosi in uno spazio cibernetico che non è diviso da confini regionali o nazionali.
Nel corso della loro storia le mafie italiane hanno dimostrato di essere in grado di adattarsi e a volte prevedere i cambiamenti socio-economici che potevano portar loro dei benefici. È pertanto necessario che lo Stato agisca più velocemente di queste per prevenire gravi danni. I sodalizi criminali italiani non sono tuttavia l’unico motivo di preoccupazione per le istituzioni e per le imprese italiane.
Oltre alle mafie italiane, quali altri attori preoccupano maggiormente?
Esistono molti conglomerati criminali stranieri attivi da anni nel settore cibernetico. La Russian Business Network (Rbn) è uno di questi. Il gruppo di origine russa è attivo sia nel settore della criminalità organizzata che del terrorismo e della guerra cibernetica. È considerata dalla Nato come una delle maggiori minacce alla sicurezza. Si ipotizza anche che sia responsabile della creazione dello Storm botnet, o Storm worm botnet, che nel 2007 controllava un’armata di computer zombie che, secondo le stime, variava da 1 a 50 milioni di computer. Gli attacchi DDoS subiti dall’Estonia nel 2007 potrebbero essere frutto di questo network. Il condizionale è d’obbligo: quando si parla di questi eventi è perché non sono ancora stati del tutto chiariti. È anche possibile che gruppi come il Russian Business Network vengano evocati troppo sovente finendo per descriverli come uno spauracchio a cui si attribuiscono anche azioni mai commesse. Al di fuori del caso specifico, questi gruppi criminali sono avvantaggiati da una grande mobilità. Possono facilmente spostarsi da paese a paese e, in alcuni di questi, sono anche protetti dai governi che li impiegano per alcune loro politiche interne o estere.
Come può il nostro Paese tutelarsi al meglio?
Le grandi aziende si stanno sempre di più preparando ad affrontare i rischi derivanti dal cyber domain tramite investimenti mirati. Questi spesso non sono però ancora sufficienti. La situazione diventa poi più drammatica per quanto riguarda le Pmi che mancano sia dei mezzi che della conoscenza necessaria per difendersi.
Per prevenire i danni devastanti che potrebbero essere causati da degli attacchi cibernetici all’Italia sono necessari maggiori investimenti in questo ambito da parte dello Stato e la creazione di una difesa olistica che è già in parte portata avanti dal Dipartimento per l’Informazione e la Sicurezza (Dis). In particolare, da una mia ricerca effettuata in collaborazione con il think tank Iassp e presentata a Montecitorio il 13 gennaio 2017, è risultata chiara la necessità di adottare un ministero cibernetico deputato sia alla difesa sia alla promozione dell’e-commerce e della cultura cyber.
Quali sarebbero le competenze da attribuire al Ministero per il Dominio Cibernetico?
Questo ministero avrebbe il compito di supervisionare l’intelligence, le forze armate e di polizia impiegate nella difesa cyber. Dal punto di vista operativo il ministero dovrebbe anche potenziare i Cert (squadre per la risposta ad emergenze informatiche) nazionali e creare, ove necessario, dei Soc (Security operations center) regionali-settoriali. Il ministero avrebbe un ruolo fondamentale anche dal punto di vista strategico. Dovrebbe infatti promuovere l’adozione di standard di settore per le aziende incentivandole tramite sgravi fiscali, rendendola obbligatoria quando le imprese sono fornitrici prodotti o servizi alla pubblica amministrazione; incentivare la formazione di base del management preferibilmente attraverso una cooperazione con il ministero dell’istruzione per la formazione degli addetti IT; creare dei presidi di settore quali Cert-Csirt/Isac per specifici settori o distretti industriali; sostenere l’interscambio di risorse tra il settore pubblico.
Quali sono gli impedimenti principali all’istituzione del nuovo ministero?
Implementare tutti questi progetti sotto l’ombrello di un ministero cibernetico sarebbe indubbiamente molto costoso nel breve periodo e richiederebbe sostanziali riforme istituzionali. Ma la cyber security va considerata come un investimento, non solo come un costo. A parte gli evidenti rischi nel caso in cui non si intervenisse a dovere in questo settore, è inoltre necessario considerare che un sistema paese sicuro nello spazio cibernetico è anche un motore per la crescita economica sempre più connessa all’e-commerce.
